Чтобы эффективнее выполнять свою работу, специалистам по информационной безопасности нужно знать определенные нормы ГОСТ и придерживаться их. При этом есть и международные стандарты защиты данных с соответствующей сертификацией — её не так уж просто получить. Однако она будет чрезвычайно полезна при трудоустройстве.
Зачем нужны ГОСТы в области информационной безопасности
В общем смысле ГОСТ — это сборник стандартов, который нужен, чтобы отслеживать количественные и качественные показатели производимой продукции. Кроме того, он включает регламенты, в которых прописано, как в дальнейшем её следует использовать и где применять. Также в ГОСТе содержатся правила проведения тех или иных работ. И подобным образом государство может отслеживать и оценивать, насколько эффективно работает производство в стране.
Что касается информационной безопасности, то здесь ГОСТы нужны опять-таки для регламентирования процесса. Кроме того, с их помощью можно унифицировать обучение специалистов и стандартизировать мероприятия по защите информации.
Действующие ГОСТы по информационной безопасности
С действующими стандартами в сфере ИБ можно ознакомиться на официальном сайте Федерального агентства по техническому регулированию и метрологии. В общей сложности их насчитывается 89. Все они определяют требования к защите информации в вычислительных системах и сетях, методы управления информационной безопасностью, оценки безопасности информационных систем и программных средств, терминологию и многое другое.
Основными же, с которыми регулярно сталкиваются сотрудники ИБ в своей работе, являются:
- ГОСТ Р 50922-96 — "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Термины и определения".
- ГОСТ Р ИСО/МЭК 27001 — Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования. Прямое применение международного стандарта — ISO/IEC/IBS21 27001:2005.
- ГОСТ Р ИСО/МЭК 15408-1-2012 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
- ГОСТ Р ИСО/МЭК 15408-2-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
- ГОСТ Р ИСО/МЭК 15408-3-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
Международные сертификаты в области информационной безопасности
Помимо ГОСТов существуют ещё и международные сертификаты, которые как раз-таки касаются в основном обучения специалистов по ИБ. Их разрабатывают либо международные органы стандартизации, такие как IEC (МЭК, Международная электротехническая комиссия), либо частные компании-поставщики решений в сфере защиты данных.
Зачем специалисту ИБ международная сертификация
Тут все довольно просто: для любого IT-специалиста — это следующая ступень в карьере и +100 к привлекательности на рынке труда.
К тому же есть определенные позиции, на которые попросту не попасть, не имея международного сертификата. Допустим, менеджмент в области ИБ, или аудит, однозначно потребуют подтверждения, что специалист знаком с лучшими международными практиками и умеет их применять в работе. Без этого к управлению проектами его попросту не допустят.
Существует несколько уровней и специализаций, и вот наиболее востребованные из них:
1. Для Junior специалистов по ИБ
- CompTIA Security+: Хороший старт для новичков. Охватывает основные концепции ИБ, включая сети, управление рисками и криптографию.
- Certified Ethical Hacker (CEH): Подходит для тех, кто хочет начать карьеру в тестировании на проникновение и этическом взломе.
2. Для Middle и менеджмента
- CISM (Certified Information Security Manager). Идеален для специалистов, стремящихся к ролям в управлении информационной безопасностью.
- CISA (Certified Information Systems Auditor). Полезен для тех, кто хочет специализироваться на аудите и контроле ИБ.
- ISO/IEC 27001 Lead Implementer. Стандарт Международной электротехнической комиссии, разработанный специально для экспертов, занимающихся внедрением системы управления информационной безопасностью.
3. Для Senior специалистов по ИБ
- CISSP (Certified Information Systems Security Professional). Широко признан и охватывает множество аспектов ИБ. Рекомендуется для профессионалов с опытом и стремящихся к стратегическим и управленческим позициям.
- GIAC (Global Information Assurance Certification). Предлагает разнообразные специализации, включая управление рисками, безопасность сетей и криминалистику.
4. Специалисты по тестированию на проникновение
- OSCP (Offensive Security Certified Professional). Очень уважаемый сертификат в области пентеста. Требует прохождения практического экзамена.
Выбор сертификации в зависимости от целей, кратко
- Управление и стратегии ИБ: CISM, CISSP
- Аудит и соответствие стандартам: CISA, ISO/IEC 27001 Lead Auditor
- Этический взлом и тестирование на проникновение: CEH, OSCP
- Общие знания и начальный уровень: CompTIA Security+, ISO/IEC 27001 Lead Implementer
Онлайн-школы и курсы с международными сертификатами информационной безопасности
1. CISSP
- Coursera. "CISSP Certification" — Курс от (ISC)², организации-разработчика данного стандарта;
- Udemy. "CISSP Certification Preparation Course" — Популярный курс с подготовительными материалами и практическими тестами.
2. CISM
- LinkedIn Learning. "CISM Cert Prep" — Подготовительный курс, охватывающий все домены CISM;
- Cybrary. "CISM Training Course" — Бесплатный курс с видеоуроками и практическими заданиями.
3. CEH
- Udemy. "The Complete Ethical Hacking Course: Beginner to Advanced!" — Всеобъемлющий курс по этическому взлому;
- Pluralsight. "CEH: Certified Ethical Hacker (v10)" — Подготовительный курс с лабораторными работами и практическими заданиями.
4. CompTIA Security+
- CompTIA Official. "CompTIA Security+ (SY0-601) Cert Prep" на сайте CompTIA — Официальный подготовительный курс компании-разработчика;
- Udemy. "CompTIA Security+ (SY0-601) Complete Course & Practice Exam" - Популярный курс с практическими тестами.
5. CISA
- Udemy. "Certified Information Systems Auditor (CISA)" — Полный курс подготовки к экзамену CISA;
- Cybrary. "CISA Training Course" — Бесплатный курс с видеоуроками и практическими заданиями.
6. ISO/IEC 27001 Lead Auditor
- PECB "ISO/IEC 27001 Lead Auditor" — Официальный курс подготовки к сертификации;
- Simplilearn "ISO 27001 Lead Auditor" — Подготовительный курс с учебными материалами и экзаменационными тестами.
7. OSCP
- Offensive Security: "PWK (Penetration Testing with Kali Linux)" — Официальный курс подготовки к OSCP, включающий лаборатории и практические задания.
8. GIAC (Global Information Assurance Certification)
- SANS Institute: Различные курсы подготовки к сертификациям GIAC, включая GSEC, GCIH и другие. SANS Institute предлагает интенсивные тренинги с лабораторными работами.
Есть ли российские сертификаты по информационной безопасности?
В РФ на настоящий момент сложилась парадоксальная ситуация: государство всячески стремятся уйти от зарубежных решений в IT, но практически во всех компаниях по-прежнему котируются международные сертификаты.
В частности, по оценкам Securitylab.ru, требования к сертификации CISSP, ISACA CISA и ISACA CISM встречаются в конкурсной документации на разработку IT-решений, а порядка 10% вакансий по теме ИБ включают обязательное наличие такого сертификата.
Пока что каких-то общероссийских стандартов сертификации не выработано, однако, Минцифры уже выступило с инициативой разработать отечественные аналоги зарубежных сертификатов. Это поможет и упростить обучение, и удешевить его на несколько порядков, и одновременно даст стимул тем IT-компаниям, которые исключались из тендеров, если их сотрудники не проходили международную сертификацию.
В данный момент лишь немногие IT-школы в РФ разработали и обучают по своей сертификации.
